###
数年に渡り攻撃に使用されていた主なツールはBackdoor. PlugX.93とBackDoor.Whitebird.30、Fast Reverse Proxy(FRP)ユーティリティ、RemComです。
ハッカー側のミスにより、Doctor Webは被害を受けた企業を特定し、使用されているバックドア管理ツールを明らかにすることに成功しました。得られた情報から、このハッカーグループはMicrosoft Exchangeがインストールされているアジア企業のメールサーバーに特化した攻撃を行っていると結論付けることができます。ただし、以下を含むその他の国の企業も標的となっています。
エジプトの政府機関
イタリアの空港
米国のマーケティング会社
カナダの輸送および木材加工会社
C&Cサーバーから収集されたログには2021年8月から11月初旬の間に攻撃を受けた企業が含まれていました。一部のケースでは、Microsoft Exchangeが導入されているサーバーのみでなく、ドメインコントローラにも BackDoor.Whitebird.30 がインストールされています。使用されているツールや手法、インフラストラクチャから、Doctor Webでは、この攻撃の背後にはAPTハッカーグループ「Calypso」が存在するものと結論付けました。
詳細は以下をご覧ください。
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
